《信息系统安全保护等级基本要求》由会员分享,可在线阅读,更多相关《信息系统安全保护等级基本要求(63页珍藏版)》请在金锄头文库上搜索。
1、 中华人民共和国国家标准中华人民共和国国家标准 GB/T GB/T ICS 35.040 L80 信息安全技术 信息系统安全等级保护基本要求 Information security technology- Baseline for classified protection of information system (报批稿) 200-发布 200-实施 全国信息安全标准化技术委员会全国信息安全标准化技术委员会 GB/T XXXX XXXX II 目 次 前 言 X 引 言 . XI 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 信息系统安全等级保护概述 1 4.1 信息系
2、统安全保护等级 1 4.2 不同等级的安全保护能力 1 4.3 基本技术要求和基本管理要求 2 4.4 基本技术要求的三种类型 2 5 第一级基本要求 2 5.1 技术要求 2 5.1.1 物理安全 2 5.1.1.1 物理访问控制(G1) 2 5.1.1.2 防盗窃和防破坏(G1) 2 5.1.1.3 防雷击(G1) 3 5.1.1.4 防火(G1) 3 5.1.1.5 防水和防潮(G1) 3 5.1.1.6 温湿度控制(G1) 3 5.1.1.7 电力供应(A1) 3 5.1.2 网络安全 3 5.1.2.1 结构安全(G1) 3 5.1.2.2 访问控制(G1) 3 5.1.2.3 网络
3、设备防护(G1) 3 5.1.3 主机安全 3 5.1.3.1 身份鉴别(S1) 3 5.1.3.2 访问控制(S1) 3 5.1.3.3 入侵防范(G1) 4 5.1.3.4 恶意代码防范(G1) 4 5.1.4 应用安全 4 5.1.4.1 身份鉴别(S1) 4 5.1.4.2 访问控制(S1) 4 5.1.4.3 通信完整性(S1) 4 5.1.4.4 软件容错(A1) 4 5.1.5 数据安全及备份恢复 4 5.1.5.1 数据完整性(S1) 4 5.1.5.2 备份和恢复(A1) 4 5.2 管理要求 4 5.2.1 安全管理制度 4 5.2.1.1 管理制度(G1) 4 5.2.1
4、.2 制定和发布(G1) 4 5.2.2 安全管理机构 4 GB/T XXXX XXXX III 5.2.2.1 岗位设置(G1) 4 5.2.2.2 人员配备(G1) 4 5.2.2.3 授权和审批(G1) 4 5.2.2.4 沟通和合作(G1) 5 5.2.3 人员安全管理 5 5.2.3.1 人员录用(G1) 5 5.2.3.2 人员离岗(G1) 5 5.2.3.3 安全意识教育和培训(G1) 5 5.2.3.4 外部人员访问管理(G1) 5 5.2.4 系统建设管理 5 5.2.4.1 系统定级(G1) 5 5.2.4.2 安全方案设计(G1) 5 5.2.4.3 产品采购和使用(G1
5、) 5 5.2.4.4 自行软件开发(G1) 5 5.2.4.5 外包软件开发(G1) 5 5.2.4.6 工程实施(G1) 6 5.2.4.7 测试验收(G1) 6 5.2.4.8 系统交付(G1) 6 5.2.4.9 安全服务商选择(G1) 6 5.2.5 系统运维管理 6 5.2.5.1 环境管理(G1) 6 5.2.5.2 资产管理(G1) 6 5.2.5.3 介质管理(G1) 6 5.2.5.4 设备管理(G1) 6 5.2.5.5 网络安全管理(G1) 7 5.2.5.6 系统安全管理(G1) 7 5.2.5.7 恶意代码防范管理(G1) 7 5.2.5.8 备份与恢复管理(G1)
6、 7 5.2.5.9 安全事件处置(G1) 7 6 第二级基本要求 7 6.1 技术要求 7 6.1.1 物理安全 7 6.1.1.1 物理位置的选择(G2) 7 6.1.1.2 物理访问控制(G2) 7 6.1.1.3 防盗窃和防破坏(G2) 7 6.1.1.4 防雷击(G2) 8 6.1.1.5 防火(G2) 8 6.1.1.6 防水和防潮(G2) 8 6.1.1.7 防静电(G2) 8 6.1.1.8 温湿度控制(G2) 8 6.1.1.9 电力供应(A2) 8 6.1.1.10 电磁防护(S2) . 8 6.1.2 网络安全 8 6.1.2.1 结构安全(G2) 8 GB/T XXXX
7、 XXXX IV 6.1.2.2 访问控制(G2) 8 6.1.2.3 安全审计(G2) 9 6.1.2.4 边界完整性检查(S2) 9 6.1.2.5 入侵防范(G2) 9 6.1.2.6 网络设备防护(G2) 9 6.1.3 主机安全 9 6.1.3.1 身份鉴别(S2) 9 6.1.3.2 访问控制(S2) 9 6.1.3.3 安全审计(G2) 9 6.1.3.4 入侵防范(G2) . 10 6.1.3.5 恶意代码防范(G2) . 10 6.1.3.6 资源控制(A2) . 10 6.1.4 应用安全 . 10 6.1.4.1 身份鉴别(S2) . 10 6.1.4.2 访问控制(S2
8、) . 10 6.1.4.3 安全审计(G2) . 10 6.1.4.4 通信完整性(S2) . 10 6.1.4.5 通信保密性(S2) . 10 6.1.4.6 软件容错(A2) . 11 6.1.4.7 资源控制(A2) . 11 6.1.5 数据安全及备份恢复 . 11 6.1.5.1 数据完整性(S2) . 11 6.1.5.2 数据保密性(S2) . 11 6.1.5.3 备份和恢复(A2) . 11 6.2 管理要求 . 11 6.2.1 安全管理制度 . 11 6.2.1.1 管理制度(G2) . 11 6.2.1.2 制定和发布(G2) . 11 6.2.1.3 评审和修订(
9、G2) . 11 6.2.2 安全管理机构 . 11 6.2.2.1 岗位设置(G2) . 11 6.2.2.2 人员配备(G2) . 12 6.2.2.3 授权和审批(G2) . 12 6.2.2.4 沟通和合作(G2) . 12 6.2.2.5 审核和检查(G2) . 12 6.2.3 人员安全管理 . 12 6.2.3.1 人员录用(G2) . 12 6.2.3.2 人员离岗(G2) . 12 6.2.3.3 人员考核(G2) . 12 6.2.3.4 安全意识教育和培训(G2) . 12 6.2.3.5 外部人员访问管理(G2) . 12 6.2.4 系统建设管理 . 13 6.2.4
10、.1 系统定级(G2) . 13 6.2.4.2 安全方案设计(G2) . 13 GB/T XXXX XXXX V 6.2.4.3 产品采购和使用(G2) . 13 6.2.4.4 自行软件开发(G2) . 13 6.2.4.5 外包软件开发(G2) . 13 6.2.4.6 工程实施(G2) . 13 6.2.4.7 测试验收(G2) . 13 6.2.4.8 系统交付(G2) . 14 6.2.4.9 安全服务商选择(G2) . 14 6.2.5 系统运维管理 . 14 6.2.5.1 环境管理(G2) . 14 6.2.5.2 资产管理(G2) . 14 6.2.5.3 介质管理(G2)
11、 . 14 6.2.5.4 设备管理(G2) . 14 6.2.5.5 网络安全管理(G2) . 15 6.2.5.6 系统安全管理(G2) . 15 6.2.5.7 恶意代码防范管理(G2) . 15 6.2.5.8 密码管理(G2) . 15 6.2.5.9 变更管理(G2) . 15 6.2.5.10 备份与恢复管理(G2) 16 6.2.5.11 安全事件处置(G2) 16 6.2.5.12 应急预案管理(G2) 16 7 第三级基本要求 . 16 7.1 技术要求 . 16 7.1.1 物理安全 . 16 7.1.1.1 物理位置的选择(G3) . 16 7.1.1.2 物理访问控制
12、(G3) . 16 7.1.1.3 防盗窃和防破坏(G3) . 16 7.1.1.4 防雷击(G3) . 17 7.1.1.5 防火(G3) . 17 7.1.1.6 防水和防潮(G3) . 17 7.1.1.7 防静电(G3) . 17 7.1.1.8 温湿度控制(G3) . 17 7.1.1.9 电力供应(A3) . 17 7.1.1.10 电磁防护(S3) 17 7.1.2 网络安全 . 18 7.1.2.1 结构安全(G3) . 18 7.1.2.2 访问控制(G3) . 18 7.1.2.3 安全审计(G3) . 18 7.1.2.4 边界完整性检查(S3) . 18 7.1.2.5
13、 入侵防范(G3) . 19 7.1.2.6 恶意代码防范(G3) . 19 7.1.2.7 网络设备防护(G3) . 19 7.1.3 主机安全 . 19 7.1.3.1 身份鉴别(S3) . 19 7.1.3.2 访问控制(S3) . 19 GB/T XXXX XXXX VI 7.1.3.3 安全审计(G3) . 20 7.1.3.4 剩余信息保护(S3) . 20 7.1.3.5 入侵防范(G3) . 20 7.1.3.6 恶意代码防范(G3) . 20 7.1.3.7 资源控制(A3) . 20 7.1.4 应用安全 . 20 7.1.4.1 身份鉴别(S3) . 21 7.1.4.2
14、 访问控制(S3) . 21 7.1.4.3 安全审计(G3) . 21 7.1.4.4 剩余信息保护(S3) . 21 7.1.4.5 通信完整性(S3) . 21 7.1.4.6 通信保密性(S3) . 21 7.1.4.7 抗抵赖(G3) . 21 7.1.4.8 软件容错(A3) . 22 7.1.4.9 资源控制(A3) . 22 7.1.5 数据安全及备份恢复 . 22 7.1.5.1 数据完整性(S3) . 22 7.1.5.2 数据保密性(S3) . 22 7.1.5.3 备份和恢复(A3) . 22 7.2 管理要求 . 22 7.2.1 安全管理制度 . 22 7.2.1.
15、1 管理制度(G3) . 22 7.2.1.2 制定和发布(G3) . 23 7.2.1.3 评审和修订(G3) . 23 7.2.2 安全管理机构 . 23 7.2.2.1 岗位设置(G3) . 23 7.2.2.2 人员配备(G3) . 23 7.2.2.3 授权和审批(G3) . 23 7.2.2.4 沟通和合作(G3) . 24 7.2.2.5 审核和检查(G3) . 24 7.2.3 人员安全管理 . 24 7.2.3.1 人员录用(G3) . 24 7.2.3.2 人员离岗(G3) . 24 7.2.3.3 人员考核(G3) . 24 7.2.3.4 安全意识教育和培训(G3) .
16、 24 7.2.3.5 外部人员访问管理(G3) . 25 7.2.4 系统建设管理 . 25 7.2.4.1 系统定级(G3) . 25 7.2.4.2 安全方案设计(G3) . 25 7.2.4.3 产品采购和使用(G3) . 25 7.2.4.4 自行软件开发(G3) . 25 7.2.4.5 外包软件开发(G3) . 26 7.2.4.6 工程实施(G3) . 26 7.2.4.7 测试验收(G3) . 26 GB/T XXXX XXXX VII 7.2.4.8 系统交付(G3) . 26 7.2.4.9 系统备案(G3) . 26 7.2.4.10 等级测评(G3) 27 7.2.4.11 安全服务商选择(G3) 27 7.2.5 系统运维管理 . 27 7.2.5.1 环境管理(G3) . 27 7.2.5.2 资产管理(G3) . 27 7.2.5.3 介质管理(G3) . 27 7.2.5.4 设备管理(G3) . 28 7.2.5.5 监控管理和安全管理中心(G3) . 28